Wie man besser USB Sticks verschlüsselt mit Linux

Im c’t Uplink vom 22.9 vom 30.6.2018 diskutieren die Heise Redakteure das Thema „USB Sticks praktikabel verschlüsseln“ und kommen dabei zu völlig falschen Einschätzungen 🙂

Bevor Ihr weiter lest, schau Euch bitte die ersten 13 Minuten von dem c’t Uplink an. Ansonsten sieht das hier gleich nach Heise-Bashing aus, was es auf keinen Fall ist.

Die „Windows kanns besser“ These

Vorgestellt werden Bitlocker von Microsoft und VeraCrypt. Veracrypt wird dabei gleich als zu kompliziert aus dem Rennen ausgeschieden, was den Teilnehmern die ernsthaft gemeinte These „Bitlocker von Microsoft wäre die bessere Wahl weil… praktikabel“ entlockt:

– „Du steckst den Stick rein, und die Passwortabfrage kommt.“
– „Das geht mit jedem Windows ab Version 7“

Nur um kurze Zeit später sich selbst widersprechend grade die Bitlocker-Lösung als „properitär“ einzustufen (Stimmt) und mit (sinngemäß)  „Um Festplatteverschlüsselung zu machen, brauchst Du eh die PRO Version, die Home kann das nicht“ gleich wieder aus dem Verkehr zu ziehen. So ganz auf einer Linie ist die Argumentation in sich nicht 🙂

Zusammenfassung

Sie disqualifizieren VeraCrypt mit, daß es zu unpraktisch für den täglichen Einsatz ist.
Sie loben VeraCrypt (indirekt), weil es OpenSource ist und genau das wolle man ja für seine Krypto.
Sie disqualifizieren Bitlocker damit, daß es das sowieso nur in der Pro kann und auch nur für Windows geht und ClosedSource ist.
Sie lassen außen vor, daß es LUKS gibt und wie das mit Linux läuft.

Das lassen wir mal so im Raum stehen ohne es zu bewerten und nehmen wir es einfach mal als Anlass, uns die Sache mit Linux anzusehen und die gleichen Kriterien anzulegen.

Meine „Linux kanns besser“ These

Was haben wir unter Linux für sowas: LUKS.

Es ist Open-Source und auf jeder Major Distribution enthalten, aber es ist  Linux Only … ODER ?? Nein, geht auch mit Windows 😀 Bei Sourceforge.net gab/gibt es ein Projekt, daß Luks Medien unter Windows mountet. Das es vermutlich ähnlich gefährlich ist, wie der Einsatz des Bitlockerhacks unter Linux, ist anzunehmen 🙂

Kriterium „Open-Source“ erfüllt 🙂

Kriterium „Nicht properitär“ … ääähhhm… fairerweise… nicht erfüllt, aber da Open-Source erfüllbar 🙂

Wenn wir einen USB Stick mit Luks einrichten, können wir den einstecken, es kommt eine Passworteingabe und das Laufwerk wird gemountet:

Ich habe mal wieder eine 4. Partition auf meinen aktuellen Livestick gepackt, weswegen das Icon der Fedora-Live-Disk vom USB Stick zusehen ist, denn die Partition war natürlich unverschlüsselt 😉

Kriterium „Praktikabel“ erfüllt 🙂

LUKS ist schon einige Zeit auf dem Markt und daher in allen gängigen Distros auch enthalten. Einschränkungen wie „PRO“ gibt es natürlich nicht.

Kriterium „Geht auf jeder Edition aka allen Linuxen“ erfüllt 🙂

Damit sind wir ein Kriterium besser als Bitlocker und weil M$ den Bitlocker Key erstmal in die eigene Cloud kopiert, damit man „dem Kunden bei Verlust ein Recovery möglich machen kann“ ( wers glaubt ), ist Bitlocker ein NOGO das man nicht ernsthaft in Betracht ziehen kann.

Fazit: Wechselt endlich auf Linux, da geht der Kram einfach 😀

Wie man das einrichtet, gibt es in einem anderen Blog Beitrag.

P.S.: Was die Heise Redakteure wohl nicht wußten war, daß man mit LUKS TrueCryptContainer mounten kann, was bedeutet: „Reinstecken und Passwortabfrage kommt“ geht auch für TrueCrypt/VeraCrypt Medien, wenn man das will 😀

Nemo benutzt Symbolic-Icons

Die Macher hinter dem Cinnamon Filebrowser Nemo haben entschieden, daß sie für die Sidebar Lesezeichensymbole, statt der üblichen Icons, ab Version 3.8.3 nur noch Symbolische Icons aus dem Iconsatz des Themes benutzen und anzeigen. Problem damit, die sehen einfach Scheisse aus.

Wir sind nicht Windows 10

Die Symbolischen Icons z.b. des Gnome-Themes den ich mir ausgewählt hatte, grade weil die Systemicons brauchbar waren, was nicht selbstverständlich zu sein scheint, sind schwarz-weiß, als wenn Sie dem High-Contrast Mode entsprungen sind. Das sieht bescheiden und sehr verdächtig nach Windows 10 aus.

Zwei Lösungen

1) Wir können Nemo auf dem Stand von 3.8.2 einfrieren, dazu als Root eingeben:

dnf downgrade nemo
vi /etc/dnf/dnf.conf

und eintragen oder anfügen: „exclude=nemo*

(die Exclude-Zeile darf nur einmal vorkommen, wenn man schon was drin hat, dann so machen: exclude=wine* nemo* whatever* )

Das hat den Nachteil, daß man keine Updates mehr bekommt für Nemo. Tja, im Prinzip nicht so gut. Also machen wir lieber:

2) Die Symblic Icons durch die normalen Icons ersetzen.

Einfach ausgedrückt, geht das. Jede Symbolic-Datei des gewählten Iconsatzes mit den Nicht-Symbolic-Icons überschreiben. Die Krux liegt wie üblich im Detail: „Mal eben“ iss nicht 🙁

Das ist harte Handarbeit, weil viele Fallbacks im Iconloader enthalten sind. Löscht man die SVG Versionen oder überschreibt man die einfach mit den PNG Versionen der nicht skalierbaren, greift er auf die 16×16 Datei zurück. d.b. echt jedes einzelne Icon nehmen und ändern 🙁

Gratuliere Nemo-Entwickler, Ihr wurdet grade gedowngraded !